2026-05-18 · 1 min de lecture
Signature HMAC pour les webhooks
Utilisez un secret partagé et un algorithme stable — vérifiez côté serveur, ne faites jamais confiance aux seuls contrôles client.
Points clés
- HMAC nécessite une clé secrète — traitez l'entrée secondaire comme sensible et évitez de la logger.
- Préférez SHA-256 sauf si des partenaires legacy exigent SHA-1.
Bases
Les deux côtés s'accordent sur l'algorithme (ex. HMAC-SHA256) et l'encodage (souvent hex ou Base64).
Signez les octets bruts du corps de requête — les changements de whitespace cassent la vérification.
Déboguer en sécurité
Utilisez des secrets de test dans les outils navigateur ; faites tourner les secrets production si collés par erreur.
Comparez votre sortie HMAC avec la doc du fournisseur en utilisant leur payload d'exemple.
Questions fréquentes
HMAC est-il identique à un hash de mot de passe ?
Non. HMAC utilise une clé secrète avec le message ; le hash de mot de passe utilise des sels et des algorithmes lents.
Puis-je vérifier HMAC dans le navigateur ?
Vous pouvez prototyper, mais la vérification production doit s'exécuter côté serveur avec des clés protégées.